CN108334775B - 一种越狱插件检测方法及装置 - Google Patents
一种越狱插件检测方法及装置 Download PDFInfo
- Publication number
- CN108334775B CN108334775B CN201810078747.7A CN201810078747A CN108334775B CN 108334775 B CN108334775 B CN 108334775B CN 201810078747 A CN201810078747 A CN 201810078747A CN 108334775 B CN108334775 B CN 108334775B
- Authority
- CN
- China
- Prior art keywords
- jail
- matching
- plug
- characteristic
- crossing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本说明书实施例提供一种越狱插件检测方法及装置,所述方法包括:读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素;利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果;根据所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为。
Description
技术领域
本说明书实施例涉及智能设备安全技术领域,特别涉及一种越狱插件检测方法及装置。
背景技术
苹果操作***(iPhone OS,IOS)作为一种封闭式操作***,通常不允许用户随意更改***设置,并限制某些第三方软件的权限。用户可以使用越狱软件来获得对IOS***的控制及使用权限,进而可以安装和允许第三方应用程序、插件等。
然而,随着黑色产业的发展,越来越多的黑色产业工作人员利用越狱插件对越狱后的IOS***进行攻击。例如,攻击者可以通过分析业务逻辑编写具有针对性的攻击插件,安装该攻击插件后的IOS***则存在被攻击的可能。
目前,检测越狱插件是否为攻击插件的方法中,通常是基于MD5算法(MessageDigest Algorithm 5,消息摘要算法5)计算越狱插件的特征值,将该特征值与已存储的攻击插件的特征值进行匹配,若匹配成功,则判定该越狱插件是攻击插件,若匹配不成功,则判定该越狱插件不是攻击插件。当攻击插件在不同环境中进行编译或者发生一些细小的变更时,该种检测方法中计算得到的该攻击插件的特征值也将发生改变,则可能无法与已存储的攻击插件的特征值匹配成功,那么就可能导致该攻击插件无法被检测出来,因此,需要提供一种更精确检测越狱插件行为的方法。
发明内容
本说明书实施例的目的是提供一种越狱插件检测方法及装置,可以更精确地检测越狱插件行为。
本说明书实施例是这样实现的:
一种越狱插件检测方法,包括:
读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素;
利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果;
根据所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为。
一种越狱插件检测装置,包括:解析模块、匹配模块和行为模块;
所述解析模块,用于读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素;
所述匹配模块,用于利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果;
所述行为模块,用于根据所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为。
由以上可见,本说明书一个或多个实施例中,通过对越狱插件进行解析,可以得到多个表示越狱插件属性的特征元素,根据特征元素的特征值与特征元素的预设特征值相匹配得到的匹配结果,以及与特征元素对应的行为信息,可以实现精细地分析越狱插件的行为,既可以避免对越狱插件的误判,又可以精确识别越狱插件可能带给用户的风险。提高了越狱插件的检测精度。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书提供的越狱插件检测方法的一种实施例的流程示意图;
图2是本说明书提供的利用图1所示的流程进行越狱插件检测的执行过程示意图;
图3是本说明书实施例中一种移动终端的硬件结构框图;
图4是本说明书提供的越狱插件检测装置一个实施例的模块结构示意图;
图5是本说明书提供的装置实施例中匹配模块的组成示意图。
具体实施方式
本说明书实施例提供一种越狱插件检测方法及装置。
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
由于越狱后的IOS***由于权限的改变,使得攻击插件可能对***发生攻击行为。例如,获取用户的密码等。目前的检测越狱插件是否为攻击插件的方法中,当攻击插件发生一些细小的变更时,基于MD5算法计算得到的越狱插件的特征值将发生改变,则可能无法与已存储的攻击插件的特征值匹配成功,那么就可能导致该攻击插件无法被检测出来。另一方便,将越狱插件的特征值与已保存的攻击插件的特征值进行匹配,匹配结果只能为匹配成功或匹配不成功,匹配成功即为攻击插件,但不能得知该越狱插件的行为如何。同时,将越狱插件的特征值与已存储的攻击插件的特征值进行匹配,只能检测出已存储的攻击插件,若已存储的攻击插件样本较少,则将攻击插件误判为非攻击插件的可能性较大。本说明书提供的越狱插件检测方法的实施例旨在解决上述问题。
以下介绍本说明书一种越狱插件检测方法的一种具体实施例。图1是本说明书提供的越狱插件检测方法的一种实施例的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的***或设备产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。图2是本说明书提供的利用图1所示的流程进行越狱插件检测的执行过程示意图。参照图1和图2,所述方法可以包括以下步骤。
S102:读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素。
对于IOS***的用户设备,可以在启动应用程序时,判断该用户设备是否为越狱后的设备。若判断结果为是,则需要对该用户设备中的越狱插件的行为进行检测。所述用户设备可以是手机、平板电脑、PC机或者笔记本电脑等设备。
可以读取IOS***中的越狱插件,对所述越狱插件进行解析。
在一个实施方式中,所述对越狱插件进行解析可以利用软件开发工具包(Software Development Kit,SDK)来实现。所述软件开发工具可以是预先存储于所述用户设备上的。
所述软件开发工具包可以对IOS***中macho格式的越狱插件进行解析。
拖过对所述越狱插件进行解析可以得到与所述越狱插件对应的特征元素。所述特征元素可以用于描述所述越狱插件的属性。所述特征元素可以包括下述中的至少一种:导入符号信息、导出符号信息、静态字符串、、类名、函数名称。
S104:利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果。
可以将所述特征元素与匹配规则进行匹配。
在一个实施方式中,所述匹配规则可以是从服务器获取的。
在一个实施方式中,所述匹配规则可以是预先获取的。
在一个实施方式中,所述匹配规则还可以是所述用户设备在启动应用程序时获取的。
在一个实施方式中,所述匹配规则可以是动态更新的。例如,服务器的匹配规则更新后,可以将新的匹配规则发送给用户设备,用户设备可以下载并存储所述新的匹配规则。
在一个实施方式中,所述利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果可以包括:对所述越狱插件任一特征元素进行局部匹配,根据所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果。
在一个实施方式中,所述匹配规则可以包括:特征元素的预设特征值。所述特征元素的预设特征值可以是已知攻击插件的特征元素的特征值。那么,所述对所述越狱插件的特征元素进行局部匹配具体可以为:计算所述特征元素的实际特征值,将所述特征元素的实际特征值与该特征元素的预设特征值进行比较,若相同,判定该特征元素的局部匹配结果为成功。由于不同的编译环境或者较小的变更可能不会使得越狱插件的特征元素发生变化,或者可能只改变越狱插件中的个别特征元素,通过对越狱插件的各特征元素进行匹配,可以检测出与已知的攻击插件属于同一类别或同一版本的越狱插件,可以提高越狱插件的检测精度。
进一步地,可以为所述局部匹配结果设置匹配标识。例如,若局部匹配结果为成功,可以设置匹配标识为1,若局部匹配结果为不成功,可以设置匹配标识为0。
在一个实施方式中,所述特征值可以包括:MD5值或者哈希值。
例如,在一个应用场景中,越狱插件的特征元素可以如下:导入符号A、导出符号B、静态字符串C。匹配规则可以为:导入符号的预设特征值为ab、导出符号的预设特征值为cd、类名的预设特征值为ef、函数名称的预设特征值为gg,以及静态字符串的预设特征值为hh。计算所述越狱插件的各特征元素的实际特征值得到结果如下:导入符号A的实际特征值为123、导出符号B的实际特征值为45、静态字符串C的实际特征值为hh。那么,匹配结果可以如表1所示。
表1
| 特征元素 | 匹配结果 | 匹配标识 |
| 导入符号A | 不成功 | 0 |
| 导入符号B | 不成功 | 0 |
| 静态字符串C | 成功 | 1 |
根据所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果可以包括:将所述各特征元素的局部匹配结果、所述越狱插件的名称和所述匹配规则作为所述越狱插件的匹配结果。
S106:根据所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为。
在一个实施方式中,所述用户设备可以根据所述越狱插件的匹配结果判断所述越狱插件的行为。具体地,可以根据预设的判断规则和所述越狱插件的匹配结果判断所述越狱插件的行为。所述预设的判断规则可以是预先获取并存储在用户设备中的,也可以是所述用户设备启动应用程序时从服务器获取的。
在一个实施方式中,所述判断规则可以是所述用户设备从服务器获取的。
在一个实施方式中,所述用户设备可以将所述越狱插件的匹配结果发送给服务器,以用于判断所述越狱插件的行为。所述服务器可以接收所述越狱插件的匹配结果,根据预设的判断规则和所述越狱插件的匹配结果确定所述越狱插件的行为。
在一个实施方式中,所述判断规则可以包括:与所述特征元素对应的行为信息。在一个应用场景中,特征元素“导入符号A”和特征元素“导出符号B”对应的行为信息可以为“窃取数据”,特征元素“静态字符C”对应的行为信息为“篡改设备信息”;那么,对于表1所示的越狱插件的匹配结果,可以确定所述越狱插件的行为包括:未窃取数据和篡改设备信息。
由于不同的特征元素可以对应不同的行为信息,通过各特征元素的匹配结果,可以确定出越狱插件的具体行为。所确定出的具体行为可以体现越狱插件的风险程度,例如,匹配成功的特征元素的比例如何、匹配成功的特征元素对应的具体行为的风险如何等等。由此,既可以避免对越狱插件的误判,又可以精确识别该越狱插件可能带给用户的风险。
本说明书提供的实施例中,通过对越狱插件进行解析,可以得到多个表示越狱插件属性的特征元素,根据特征元素的特征值与特征元素的预设特征值相匹配得到的匹配结果,以及与特征元素对应的行为信息,可以实现精细地分析越狱插件的行为,既可以避免对越狱插件的误判,又可以精确识别越狱插件可能带给用户的风险。提高了越狱插件的检测精度。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在移动终端上为例,图3是本说明书实施例中一种移动终端的硬件结构框图。如图3所示,所述移动终端可以包括一个或多个(图中仅示出一个)处理器102、用于存储数据的存储器104以及用于通信功能的传输模块106。
所述处理器102可以包括中央处理器(CPU)或图形处理器(GPU),当然也可以包括其他的具有逻辑处理能力的单片机、逻辑门电路、集成电路等,或其适当组合。
所述存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的搜索方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述实施例中的页面显示的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至所述页面显示设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。实现的时候,该存储器也可以采用云存储器的方式实现,具体实现方式,本说明书不作出限定。
所述传输模块106可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括所述页面显示设备的通信供应商提供的无线网络。在一个实例中,传输模块106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本领域普通技术人员可以理解,图3所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,所述移动终端还可包括比图3中所示更多或者更少的组件,例如还可以包括其他的处理硬件,如GPU(Graphics Processing Unit,图像处理器),或者具有与图3所示不同的配置。
基于上述所述的越狱插件检测方法,本说明书还提供一种装置。所述的装置可以包括使用了本说明书实施例所述方法的***(包括分布式***)、软件(应用)、模块、组件、设备等并结合必要的实施硬件的设备装置。基于同一创新构思,本说明书提供的装置如下面的实施例所述。由于和方法解决问题的实现方案与方法相似,因此本说明书实施例具体的装置实施可以参见前述方法的实施,重复之处不再赘述。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本说明书提供的越狱插件检测装置一个实施例的模块结构示意图。如图4所示,所述交越狱插件检测装置可以包括:解析模块402、匹配模块404和行为模块406。
所述解析模块402,可以用于读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素。所述特征元素可以用于描述所述越狱插件的属性。所述特征元素可以包括下述中的至少一种:导入符号信息、导出符号信息、静态字符串、、类名、函数名称。
在一个实施方式中,所述解析模块402可以是软件开发工具包。
所述匹配模块404,可以用于利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果。具体地,可以对所述越狱插件任一特征元素进行局部匹配,根据所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果。
在一个实施方式中,所述匹配规则可以包括:特征元素的预设特征值。那么,所述对所述越狱插件的特征元素进行局部匹配具体可以为:计算所述特征元素的实际特征值,将所述特征元素的实际特征值与该特征元素的预设特征值进行比较,若相同,判定该特征元素的局部匹配结果为成功。所述特征值可以包括:MD5值或者哈希值。
所述行为模块406,可以用于根据所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为。所述确定所述越狱插件的行为可以根据预设的判断规则和所述越狱插件的匹配结果来实现。所述判断规则可以包括:与所述特征元素对应的行为信息。
图5是本说明书提供的装置实施例中匹配模块的组成示意图。参照图5,所述匹配模块404可以包括:局部匹配模块4042和匹配结果模块4044。
所述局部匹配模块4042,可以用于对所述越狱插件任一特征元素进行局部匹配,得到局部匹配结果。
所述匹配结果模块4044,可以用于所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果。
在一个实施方式中,所述局部匹配模块4042可以包括:实际特征值计算子模块和比较子模块。
所述实际特征值计算子模块,可以用于计算所述特征元素的实际特征值。
所述比较子模块,可以用于将所述实际特征值计算子模块计算得到的特征元素的实际特征值与该特征元素的预设特征值进行比较,若相同,判定该特征元素的局部匹配结果为成功。
参照图5,在一个实施方式中,所述匹配模304还可以包括:匹配标识模块4046。所述匹配标识模块4046可以用于为所述局部匹配结果设置匹配标识。
本说明书实施例提供的上述越狱插件检测方法或装置可以在计算机中由处理器执行相应的程序指令来实现,如使用IOS***程序设计语言在智能终端实现,以及基于量子计算机的处理逻辑实现等。
具体的,本说明书另一方面还提供一种服务器,包括处理器及存储器,所述存储器存储由所述处理器执行的计算机程序指令,执行所述计算机程序指令可以实现以下步骤:读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素;利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果;根据所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为。
由此可见,本说明书提供的越狱插件检测装置的实施例与本说明书中的方法实施例是基于同一创新构思,因此,本说明书提供的越狱插件检测装置的实施例可以实现说明书中方法实施例的技术效果。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字***“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储、石墨烯存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、装置或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在权利要求范围之内。
Claims (13)
1.一种越狱插件检测方法,包括:
在启动应用程序时,从服务器获取匹配规则、预设的判断规则;所述匹配规则是动态更新的,所述匹配规则包括:特征元素的预设特征值,所述特征元素的预设特征值为已知攻击插件的特征元素的特征值;所述判断规则包括:与所述特征元素对应的行为信息;
读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素;所述特征元素包括导入符号信息或导出符号信息;
利用匹配规则对所述导入符号信息或导出符号信息进行匹配得到所述越狱插件的匹配结果;
根据所述预设的判断规则和所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为;
通过确定的所述越狱插件的行为确定越狱插件的风险程度。
2.根据权利要求1所述的方法,其中,所述对所述越狱插件进行解析利用预先存储的软件开发工具包实现。
3.根据权利要求1所述的方法,其中,所述特征元素还包括下述中的至少一种:静态字符串、类名、函数名称。
4.根据权利要求1所述的方法,其中,所述利用匹配规则对所述特征元素进行匹配得到所述越狱插件的匹配结果包括:对所述越狱插件任一特征元素进行局部匹配,根据所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果。
5.根据权利要求4所述的方法,其中,所述匹配规则包括:特征元素的预设特征值。
6.根据权利要求5所述的方法,其中,所述特征值包括:是消息摘要算法5的值或者哈希值。
7.根据权利要求5所述的方法,其中,所述对所述越狱插件的特征元素进行局部匹配具体为:
计算所述特征元素的实际特征值;
将所述特征元素的实际特征值与该特征元素的预设特征值进行比较,若相同,判定该特征元素的局部匹配结果为成功。
8.根据权利要求7所述的方法,其中,还包括:为所述局部匹配结果设置匹配标识。
9.根据权利要求4所述的方法,其中,所述根据所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果包括:将所述各特征元素的局部匹配结果、所述越狱插件的名称和所述匹配规则作为所述越狱插件的匹配结果。
10.一种越狱插件检测装置,包括:解析模块、匹配模块和行为模块;
所述解析模块,用于读取IOS***中的越狱插件,对所述越狱插件进行解析得到与所述越狱插件对应的特征元素;所述特征元素包括导入符号信息或导出符号信息;
所述匹配模块,用于利用匹配规则对所述导入符号信息或导出符号信息进行匹配得到所述越狱插件的匹配结果;
所述行为模块,用于根据预设的判断规则和所述越狱插件的匹配结果确定所述越狱插件的行为;或者,将所述越狱插件的匹配结果发送给服务器,以用于确定所述越狱插件的行为;所述越狱插件的行为用于确定越狱插件的风险程度;
其中,所述匹配规则、所述预设的判断规则是在启动应用程序时从服务器获取的;所述匹配规则是动态更新的;所述匹配规则包括:特征元素的预设特征值,所述特征元素的预设特征值为已知攻击插件的特征元素的特征值;所述判断规则包括:与所述特征元素对应的行为信息。
11.根据权利要求10所述的装置,其中,所述匹配模块包括:局部匹配模块和匹配结果模块;
所述局部匹配模块,用于对所述越狱插件任一特征元素进行局部匹配,得到局部匹配结果;
所述匹配结果模块,用于所述越狱插件的各特征元素的局部匹配结果确定所述越狱插件的匹配结果。
12.根据权利要求11所述的装置,其中,所述局部匹配模块包括:实际特征值计算子模块和比较子模块;
所述实际特征值计算子模块,用于计算所述特征元素的实际特征值;
所述比较子模块,用于将所述特征元素的实际特征值与该特征元素的预设特征值进行比较,若相同,判定该特征元素的局部匹配结果为成功。
13.根据权利要求11所述的装置,其中,所述匹配模块还包括:匹配标识模块,用于为所述局部匹配结果设置匹配标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810078747.7A CN108334775B (zh) | 2018-01-23 | 2018-01-23 | 一种越狱插件检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810078747.7A CN108334775B (zh) | 2018-01-23 | 2018-01-23 | 一种越狱插件检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108334775A CN108334775A (zh) | 2018-07-27 |
| CN108334775B true CN108334775B (zh) | 2022-09-23 |
Family
ID=62926461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810078747.7A Active CN108334775B (zh) | 2018-01-23 | 2018-01-23 | 一种越狱插件检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108334775B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912697B (zh) * | 2019-12-26 | 2022-09-16 | 支付宝(杭州)信息技术有限公司 | Scheme请求校验方法、装置及设备 |
| CN117521087B (zh) * | 2024-01-04 | 2024-03-15 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、***及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459672A (zh) * | 2008-12-26 | 2009-06-17 | 东北大学 | 网页内容认证***及方法 |
| CN106250728A (zh) * | 2015-06-09 | 2016-12-21 | 汤姆逊许可公司 | 用于保护ios软件模块的设备和方法 |
| EP3179396A1 (en) * | 2015-12-10 | 2017-06-14 | Thomson Licensing | Device and method for executing protected ios software modules |
| WO2017144089A1 (en) * | 2016-02-24 | 2017-08-31 | Taggalo S.R.L. | Method for managing advanced plugins in an electronic device for analyzing the people behaviour in a physical space, electronic device for analyzing the people behaviour in a physical space and related program product |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577754B (zh) * | 2012-08-02 | 2018-05-08 | 腾讯科技(深圳)有限公司 | 插件安装的检测方法及装置 |
| US8938805B1 (en) * | 2012-09-24 | 2015-01-20 | Emc Corporation | Detection of tampering with software installed on a processing device |
| CN103778371A (zh) * | 2012-10-22 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 一种监控插件安装的方法及终端 |
| CN103051617B (zh) * | 2012-12-18 | 2015-09-02 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及*** |
| CN103226583B (zh) * | 2013-04-08 | 2017-07-28 | 北京奇虎科技有限公司 | 一种广告插件识别的方法和装置 |
| WO2015013410A2 (en) * | 2013-07-26 | 2015-01-29 | Optio Labs, Inc. | Systems and methods for enhancing mobile security via aspect oriented programming |
| CN109683922A (zh) * | 2014-12-05 | 2019-04-26 | 北京奇虎科技有限公司 | 卸载破解版应用程序的方法及装置 |
| CN104915594B (zh) * | 2015-06-30 | 2019-02-12 | 北京奇虎科技有限公司 | 应用程序运行方法及装置 |
| CN106899977B (zh) * | 2015-12-18 | 2020-02-18 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
| CN105809035B (zh) * | 2016-03-07 | 2018-11-09 | 南京邮电大学 | 基于安卓应用实时行为的恶意软件检测方法和*** |
| CN107239702A (zh) * | 2016-03-29 | 2017-10-10 | 腾讯科技(深圳)有限公司 | 一种安全漏洞检测的方法以及装置 |
| CN107092830A (zh) * | 2017-06-09 | 2017-08-25 | 武汉虹旭信息技术有限责任公司 | 基于流量分析的ios恶意软件预警和检测***及其方法 |
-
2018
- 2018-01-23 CN CN201810078747.7A patent/CN108334775B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459672A (zh) * | 2008-12-26 | 2009-06-17 | 东北大学 | 网页内容认证***及方法 |
| CN106250728A (zh) * | 2015-06-09 | 2016-12-21 | 汤姆逊许可公司 | 用于保护ios软件模块的设备和方法 |
| EP3179396A1 (en) * | 2015-12-10 | 2017-06-14 | Thomson Licensing | Device and method for executing protected ios software modules |
| WO2017144089A1 (en) * | 2016-02-24 | 2017-08-31 | Taggalo S.R.L. | Method for managing advanced plugins in an electronic device for analyzing the people behaviour in a physical space, electronic device for analyzing the people behaviour in a physical space and related program product |
Non-Patent Citations (2)
| Title |
|---|
| "越狱"与封堵的博弈;张越;《中国信息化》;20150410(第04期);第57-59页 * |
| 尽享自由 iOS 7越狱问题详解;Techevan等;《移动信息》;20140201;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108334775A (zh) | 2018-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107562467B (zh) | 页面渲染方法、装置及设备 | |
| US10481964B2 (en) | Monitoring activity of software development kits using stack trace analysis | |
| CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| KR101246623B1 (ko) | 악성 애플리케이션 진단 장치 및 방법 | |
| CN111930809A (zh) | 数据处理方法、装置及设备 | |
| CN111291374B (zh) | 一种应用程序的检测方法、装置及设备 | |
| CN110532165B (zh) | 应用程序安装包特性检测方法、装置、设备及存储介质 | |
| US11593478B2 (en) | Malware collusion detection | |
| CN110781192B (zh) | 区块链数据的验证方法、装置及设备 | |
| CN107735792B (zh) | 软件分析***、软件分析方法和记录介质 | |
| CN108334775B (zh) | 一种越狱插件检测方法及装置 | |
| US11373004B2 (en) | Report comprising a masked value | |
| CN105760761A (zh) | 软件行为分析方法和装置 | |
| AU2020203975A1 (en) | Information display method, terminal, and server | |
| CN111753270A (zh) | 应用程序登录验证方法、装置、设备和存储介质 | |
| US9646157B1 (en) | Systems and methods for identifying repackaged files | |
| CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
| CN109492398A (zh) | 一种Android应用程序敏感行为的风险检测方法及装置 | |
| CN109976769B (zh) | 应用安装包对应的服务器标识的确定方法、装置及设备 | |
| US10387809B2 (en) | Method and apparatus for extracting mobile application suitability features for a mobile business application | |
| US9773114B2 (en) | Method for analysing program code of electronic device and electronic device | |
| CN116880847A (zh) | 基于开源项目的溯源方法、装置电子设备及存储介质 | |
| CN107451050B (zh) | 函数获取方法和装置、服务器 | |
| CN111143203B (zh) | 机器学习、隐私代码确定方法、装置及电子设备 | |
| CN112491816A (zh) | 业务数据处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200923 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: Greater Cayman, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. Effective date of registration: 20200923 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |